Medusa, una gang che solitamente effettua attacchi informatici di tipo ransomware, ha pubblicato sul proprio sito i dati rubati a Postel, società controllata da Poste Italiane. Tra cui carte di identità, passaporti, attestati e altri dati personali dei dipendenti corredati da informazioni interne del gruppo. E password, accessi a Spid, alcune email che riportano in testa la dicitura “confidenziale” o “riservata” e informazioni su congedi parentali e malattia dei dipendenti di Postel, esattamente come preannunciato il 15 agosto scorso al momento della rivendicazione. Sui canali social dell’azienda Postel non è presente ancora nessuna comunicazione in merito.
L’azienda gestisce documenti per imprese e pubbliche amministrazioni, ed è stata attaccata lo scorso 15 agosto. Per evitare il rilascio delle informazioni finite in mano al gruppo criminale, che è avvenuta dopo dieci giorni e non otto come preannunciato, gli attaccanti hanno proposto a Postel il pagamento di un riscatto di 500mila dollari, senza però riceverlo.
La gang Medusa rivendica una intrusione nei sistemi della società controllata da Poste. Rubati dati fiscali e dei dipendenti. È stato chiesto un riscatto per impedire la pubblicazione delle informazioni
Dopo una richiesta di informazioni inoltrata da Wired subito dopo l’attacco informatico, il gruppo Poste Italiane ha diffuso una nota stampa informando come Postel avesse “individuato delle attività anomale sui propri sistemi, attribuibili ad un attore esterno non autorizzato. Le attività hanno interrotto l’operatività di alcuni server, nonché di alcune postazioni di lavoro distribuite sul territorio nazionale”. A rendere pubblico il leak di dati è stato il progetto Dashboard ransomware monitor, che ha registrato il rilascio delle informazioni.
Il gruppo Medusa si è fatto notare per aver sottratto dati a molte aziende internazionali come anche a scuole pubbliche statunitensi, e di averli pubblicati online sul blog della gang, raggiungibile via Tor browser.
Da quanto è stato possibile ricostruire dal portale Bleeping computer la gang attaccherebbe i dispositivi Windows attraverso ransomware, mettendo ko servizi e processi del sistema operativo che potrebbero impedire la crittografia dei file (server di posta elettronica, di database, software di sicurezza). Medusa elimina anche i file archiviati localmente e associati a programmi di backup per impedire il ripristino dei file. Tutti i file crittografati acquisiscono l’estensione .Meduca e il ransomware crea una nota di testo in cui inserisce le informazioni utili alla vittima per capire quanto successo, compreso l’indirizzo della pagina Tor in cui i morti dell’attacco possono negoziare con il gruppo criminale e una serie di altre informazioni di contatto.
Leggi tutto su www.wired.it
di Laura Carrer www.wired.it 2023-08-25 10:20:01 ,